Windows Server 2019: audite qué usuario humano reinicia un servicio

tag-icon tag-icon service windows-server-2019 audit eventviewer
Windows Server 2019: audite qué usuario humano reinicia un servicio

Intentando auditar qué usuario de AD realmente reinicia un servicio en un servicio en particular.
El servicio (MyService) utiliza una cuenta de servicio para ejecutar y obtener acceso a diferentes recursos.

Quiero auditar cuando mi usuario o cualquier usuario humano real inicia/detiene/reinicia manualmente el servicio y poder obtener esa información en un "Evento" en EventViewer para luego configurar una alerta o vista filtrada para ver quién y cuándo modificó el estado de ejecución del servicio.

Encontré estas instrucciones que parecen bien detalladas:
https://support.qlik.com/articles/000058520

En el propio servidor (Windows Server 2019) (es decir, no a través de un GPO):

  1. MMC > Plantillas de seguridad > C:\Users$USER\Documents\Security\Templates
    1.1 "Nueva plantilla" > "MyServiceSecurityTemplate"
    1.2 "MyServiceSecurityTemplate" > "Servicios del sistema" > "MyService" > "Propiedades"
    1.3
    "Defina esta configuración de política en la plantilla" = Marcado
    "Seleccionar modo de inicio del servicio: Automático"
    ^ Es decir, el servicio siempre debe iniciarse con el servidor, por lo que solo controlamos cómo se inicia el servicio O ¿se relaciona con qué eventos de inicio del servicio registra?
    Es decir, ¿solo registra cuando el servicio se inició automáticamente y NO cuando se detiene/inicia/reinicia manualmente?
    1.4 "Editar seguridad" > "Avanzado" > "Auditoría" > "Agregar" >
    "Principal: "
    "Tipo: Éxito"
    "Permisos básicos: Iniciar, detener y pausar"
    "Aceptar" > "Aplicar" > "Aceptar"> " Aplicar" > "Aceptar" > "Aceptar" > Mensaje:
    "Política de seguridad Está a punto de cambiar la configuración de seguridad para este servicio... ¿Quiere continuar?" >
    "Sí" > "Aplicar" > "Aceptar"

  2. Editor de políticas de grupo local > Configuración del equipo > Configuración de Windows > Configuración de seguridad > Configuración avanzada de políticas de auditoría > Políticas de auditoría del sistema - Objeto de política de grupo local > Acceso a objetos:
    "Auditar manipulación de controles" y "Auditar eventos de acceso a otros objetos" > "Propiedades"
    "Configurar los eventos seleccionados para ser auditados:
    Auditar todo con éxito" > "Aplicar" > "Aceptar"

  3. EventViewer > Registros de Windows > Seguridad:
    Filtro para EventID 4656

No se encontraron eventos para ese filtro....

¿Porqué es eso?

información relacionada